Алгоритм - Учебный центр

Версия сайта для слабовидящих
Заполните форму ниже! Мы вам перезвоним!

Нажав на кнопку "Отправить", Я даю своё согласие на автоматизированную обработку указанной информации, распространяющейся на осуществление всех действий с ней, включая сбор, передачу по сетям связи общего назначения, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение и обработку посредством внесения в электронную базу данных, систематизации, включения в списки и отчетные формы.


Делегирование административных полномочий в Active Directory Domain Services.

Делегирование административных полномочий в

Active Directory Domain Services. 

 

Любое предприятие всегда стремится снизить затраты на сопровождение IT инфраструктуры. Одним из приемов снижения затрат является передача части административных полномочий обычным пользователям. В этой статье описано делегирование административных полномочий.

Доменные службы Active Directory (AD DS), как правило, развертываются в качестве служб каталогов, совместно используемых подразделениями в ор­ганизации. Применение общей службы каталогов позволяет снизить уровень затрат на поддержку инфраструктуры, однако при этом нужно принять во внимание другие аспекты:

- независимое управление пользователями и ресурсами в подразделениях, где требуется децентрализованное администрирование.

- необходимо гарантировать, что администраторы или пользователи будут выполнять в подразделении лишь дозволенные задачи.

- специфические объекты или данные, хранящиеся в каталоге, должны быть доступны только администраторам с соответствующими правами доступа.

Чтобы выполнить эти требования, нужно понимать принцип делегирования административных задач. В процессе делегирования высокоуровневый адми­нистратор предоставляет разрешения доступа другим пользователям для вы­полнения специфических административных задач в структуре Active Directory, которая обеспечивает иерархическое представление службы каталогов: вначале на уровне узла и домена, а затем на уровне организационной единицы или подразделения (OU) в домене. Эта иерархия предусматривает широкие воз­можности управления правами доступа и делегирования административных задач на различных уровнях логической инфраструктуры.

Административные задачи Active Directory.

Административные задачи Active Directory обычно делятся на две категории: управление данными и управление службами. Задачи управления данными связаны с управлением содержимым базы данных Active Directory. Задачи управления службами используются для управления всеми аспектами с целью обеспечения надежной и эффективной работы службы каталогов на предпри­ятии. В табл. 1 описаны некоторые задачи каждой категории.

 

Таблица 1. Администрирование Active Directory

 

Категория

Задачи

Управление данными
  • Управление учетными записями. Создание, поддержка и удаление учетных записей
  • Управление группами безопасности. Создание групп безопасности, подготовка для предоставления доступа к сетевым ресурсам, управ­ление членством и удаление
  • Управление ресурсами. Все аспекты управления сетевыми ресурсами (рабочие станции конечных пользователей, серверы и ресурсы на серверах, включая общие файловые ресурсы и приложения)
  • Управление групповой политикой. Создание, назначение и удале­ние объектов групповой политики в структуре Active Directory
  • Управление данными приложений. Все аспекты управления прило­жений, использующих или интегрированных в Active Directory (например, Microsoft Exchange Server)

Управление службами
  • Управление установкой и доверием. Создание и удаление доменов, развертывание контроллеров доменов и конфигурация соответству­ющих функциональных уровней Active Directory
  • Управление базами данных контроллеров доменов и катало­гов. Аспекты, связанные с управлением оборудованием контролле­ров доменов, поддержкой баз данных, а также обновлением прило­жений и безопасностью
  • Управление схемой. Расширение или модификация схемы для поддержки развертывания приложений Active Directory
  • Управление ролями мастеров операций. Задачи, связанные с назначением и конфигурацией ролей мастеров операций
  • Управление архивацией и восстановлением. Все задачи, связанные с регулярным созданием резервных копий базы данных каталогов
  • и процедурами восстановления
  • Управление репликацией. Все задачи, связанные с созданием, поддержкой и мониторингом топологии репликации
  • Управление политиками безопасности. Все задачи, связанные с управлением политикой безопасности контроллеров доменов по умолчанию, а также политиками паролей, блокировки учетных записей и учетных записей Kerberos

 

Для делегирования задач управления данными и службами в организации нужно знать административные требования для всех подразделений компании, чтобы разработать наиболее эффективную модель делегирования и обеспечить безопасную сетевую среду. Для развертывания модели делегирования нужно знать разрешения доступа к объектам Active Directory, методы делегирования и принципы аудита. Эти концепции описаны ниже.

Получение доступа к объектам Active Directory.

Для эффективного делегирования административных задач вы должны знать, каким образом Active Directory контролирует доступ к объектам, которые хранятся в службе каталогов. Речь идет о следующих элементах управления доступом:

- учетные данные принципала безопасности, пытающегося выполнить задачу или получить доступ к ресурсу;

- данные авторизации, используемые для защиты ресурса или авторизации выполняемой задачи;

- проверка доступа, сравнивающая учетные данные с данными авторизации, чтобы определить, разрешено ли принципалу безопасности получать доступ к ресурсу или выполнять задачу.

Когда пользователь входит в домен AD DS, выполняется проверка под­линности и пользователь получает маркер доступа, содержащий идентифика­тор безопасности (SID) учетной записи пользователя, SID-идентификаторы каждой группы безопасности, членом которых является пользователь, а также список привилегий пользователя и этих групп безопасности. Маркер доступа позволяет обеспечить контекст безопасности и учетные данные для управле­ния сетевыми ресурсами, выполнения административных задач и получения доступа к объектам в Active Directory.

Безопасность применяется к сетевому ресурсу или объекту Active Directory с помощью данных авторизации, хранящихся в дескрипторе безопасности (Security Descriptor) каждого объекта. Дескриптор безопасности состоит из следующих компонентов.

Владелец объекта. Идентификатор SID текущего владельца объекта. Как правило, владельцем является создатель объекта или принципал безопас­ности, которому передано владение объектом.

Основная группа. Идентификатор SID текущей основной группы владель­ца. Эта информация используется только подсистемой Portable Operating System Interface for UNIX (POSIX).

Дискреционный список контроля доступа (DACL). Список записей уп­равления доступом АСЕ (Access Control Entry), определяющих разрешения доступа каждого принципала безопасности к объекту. Каждый принципал безопасности, добавляемый в объект, получает список разрешений, ука­зывающих экстент, где пользователь или группа может манипулировать с объектом. Если пользователь не представлен в АСЕ лично или в качестве члена группы, он не получает доступ к объекту.

Системный список контроля доступа (SASL). Определяет параметры аудита для объекта, включая принципалы безопасности и операции, аудит которых должен выполняться.

 


Лицензия

» » »